Journal pam_usb v0.2_rc2

Posté par  .
Étiquettes : aucune
0
13
jan.
2004
Une nouvelle version de pam_usb est sortie il y a quelques semaines.

pam_usb est un module PAM qui permet de s'authentifier sur ses machines grâce à une clé USB, en utilisant une paire de clés DSA.

L'outil usbadm qui est fourni avec permet de gérer ces clés DSA (et, entre autre, l'ACL des numéros de série, etc).

Cette nouvelle version permet d'utiliser pam_usb avec n'importe quel autre block device (CDROMs, Floppy Disks, etc), sans le support de certains mechanismes de sécuritée (géstion de numéros de série, identification du device, etc).

En plus de ça, cette version a un support pour kernels 2.6

  • # Re: pam_usb v0.2_rc2

    Posté par  . Évalué à 1.

    Homepage: http://sig11.org/~al/pam_usb/(...)
    Freshmeat: http://freshmeat.net/projects/pam_usb/(...)
    SecurityFocus: http://www.securityfocus.com/tools/3308(...)

  • # Re: pam_usb v0.2_rc2

    Posté par  (site web personnel) . Évalué à 1.

    J'ai une anecdote marrante à propos de pam_usb.

    "Génial!" m'étais-je dit avec un pote quand je l'ai vu. Et voilà que dans l'après-midi nous étions fièrement en train de nous authentifier avec nos clés USB. L'avantage étant également que nous pouvions facilement passer root sur nos machines sans taper de mot de passe.

    Puis, comme nous avons des comptes NIS, j'en viens à me logger sur sa machine pour je-ne-sais quelle raison. L'autre étant loggé et sa clé branché. Je me dis que non, ça ne peut pas marcher, et je tape "su" pour voir. Et paf! Root. 1 0wnz Y00!

    Alors, faites gaffe, ne l'utilisez pas pour l'utilisateur root...

    • [^] # Re: pam_usb v0.2_rc2

      Posté par  (site web personnel) . Évalué à 1.

      Comme pour tous les modules pam, il a un fichier de configuration qui sert à ça, et, effectivement, en général, dans ce fichier on dit que pour l'auth de tous les utilisateurs *SAUF* root on s'auth avec le module pam qu'on veut, et on laisse l'auth de root sur "file".

    • [^] # Re: pam_usb v0.2_rc2

      Posté par  . Évalué à 1.

      C'est normal, c'est pour ça qu'en tant que root il vaudrait mieux crypter la clé privée en utilisant usbadm (usbadm help cipher).

      En tout cas, je suis déjà en train de m'occuper de ça en cherchant une méthode pour m'assurer que l'utilisateur soit bien local. J'ai déjà essayé en utilisant pam_get_item() sur PAM_RHOST, mais sans succès. Il y a de fortes chances que cette feature soit sur la nouvelle version de pam_usb.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.